5
वेबसाइट यूआई स्पूफिंग के खतरे के लिए आपका सुझाया गया समाधान क्या है?आप वेबसाइट स्पूफिंग/फ़िशिंग का मुकाबला कैसे करते हैं?
A
उत्तर
1
इस समस्या की कुंजी असली साइट के अनुरोध और स्पूफ साइट के अनुरोध के बीच कुछ अंतर की पहचान कर रही है।
सबसे आसान अंतर कुछ कुकी-आधारित UI प्राथमिकता है। आपकी (असली) साइट पर एक कुकी सेट केवल आपकी साइट पर वापस आ जाएगी, और इसे कभी भी स्पूफ साइट पर नहीं भेजा जाएगा।
अब बहुत सारे कारण हैं कि वैध कुकी आपकी साइट पर नहीं भेजी जा सकती है, उपयोगकर्ता शायद एक अलग कंप्यूटर का उपयोग कर रहे हों या हो सकता है कि वे समाप्त/हटाए गए कुकीज़ हो, लेकिन कम से कम आप गारंटी दे सकते हैं कि यह नहीं होगा स्पूफ साइट पर भेजा जाना चाहिए।
0
एक समाधान प्रति उपयोगकर्ता वेबसाइट को अनुकूलित करना है। स्पूफिंग केवल तभी काम करता है जब उपयोगकर्ता मूल रूप से वेबसाइट के समान दृश्य (एक स्पूफ - कई पीड़ित) होते हैं। इसलिए, उदाहरण के लिए, ईबे आपको एक कस्टम पृष्ठभूमि रंग कॉन्फ़िगर करने देगा, तो आपको यह ध्यान देने में सक्षम होना चाहिए कि जो पृष्ठ आप देख रहे हैं वह कुछ स्पूफ है (जो आपकी रंग की पसंद नहीं जानता)। एक वास्तविक समाधान थोड़ा अधिक जटिल है (जैसे ब्राउज़र में कॉन्फ़िगर किया गया एक गुप्त कीवर्ड जो केवल ब्राउज़र पासवर्ड नियंत्रण में या यूआरएल बार में प्रस्तुत कर सकता है), लेकिन विचार समान है।
प्रति उपयोगकर्ता यूआई को कस्टमाइज़ करें ताकि स्पूफिंग (जो मूल रूप से वही यूआई देखने की अपेक्षा रखने वाले अधिकांश उपयोगकर्ताओं पर निर्भर करता है) काम करना बंद कर देता है। यह ब्राउज़र आधारित समाधान हो सकता है, या कुछ उपयोगकर्ता जो अपने उपयोगकर्ताओं को प्रदान करते हैं (कुछ पहले से ही करते हैं)।
+0
व्यक्तिगत अनुकूलन कोई अच्छा नहीं है - वास्तविक साइट यह नहीं जानती कि आप लॉग इन होने तक कौन हैं, इसलिए उनके पास होने का नाटक करने वाले फ़िशर के पास पहले से ही आपके प्रमाण-पत्र होंगे। – Alnitak
-1
मैंने कुछ साइटें देखी हैं जो आपको "व्यक्तिगत" आइकन चुनने देती हैं। जब भी आप लॉग इन करते हैं, तो वह आइकन सबूत के रूप में प्रदर्शित होता है कि आप उनकी साइट पर हैं।
-1
उपयोगकर्ता लॉगिन (एक प्रश्न जो उपयोगकर्ता ने उत्तर के साथ लिखा है) पर एक प्रश्न पूछ सकते हैं।
उपयोगकर्ता लॉग इन करने के बाद आप एक तस्वीर प्रदर्शित कर सकते हैं, यदि उपयोगकर्ता अपनी तस्वीर (निजी जो केवल उसे देख सकता है) वास्तविक वेबसाइट की तुलना में नहीं देखता है।
+0
पर प्रदर्शित कर सकती है ये समाधान अभी भी आपके प्रवेश में भरोसा करते हैं प्रमाण पत्र प्राप्त करने से पहले प्रमाण पत्र कि आप सही साइट पर हैं। – Gareth
+0
ठीक है जहां यह प्रश्न में लिखा गया है कि पहले होना आवश्यक है? –
+0
@ डेक: शीर्षक का 'फ़िशिंग' हिस्सा (सूक्ष्म, है ना?) - फ़िशिंग का पूरा बिंदु कानूनी साइट होने का नाटक करके प्रमाण-पत्र एकत्र करना है, है ना? –
5
परिभाषा के अनुसार किसी भी समाधान है कि आप व्यक्तिगत जानकारी एक बार आप प्रवेश करने के बाद दिखा साइट पर निर्भर करता है phishers खिलाफ अप्रभावी है। अगर आपने लॉगिन करने का प्रयास किया है, वे पहले ही सफल हुए हैं!
एफडब्ल्यूआईडब्ल्यू, मुझे अभी तक असली जवाब नहीं पता है, शायद यह सवाल कुछ अच्छे विचारों को फेंक देगा। हालांकि मैं फिशिंग, खराब डोमेन पंजीकरण आदि में अनुसंधान में पेशेवर रूप से शामिल हूं।
मुझे विश्वास नहीं है कि वेब साइट डेवलपर्स लागू करने के लिए कोई महत्वपूर्ण तकनीकी समाधान है। फिर, परिभाषा के अनुसार, यदि आपके उपयोगकर्ता फ़िशिंग साइट पर पहुंचते हैं तो आप अब नियंत्रण में नहीं हैं।
यही कारण है कि सभी मौजूदा एंटी-फ़िशिंग प्रौद्योगिकियां ब्राउज़र में रहती हैं, न कि फ़िश साइट पर।
+0
नहीं, इसका मतलब यह है कि यह वास्तव में उन साइटों के लिए पिंगिंग के खिलाफ एक प्रभावी उपाय है जिनके पास आपके पास पहले से खाता है। यह समाधान का एक बड़ा हिस्सा है। तथ्य यह है कि यह पूर्व-लॉगिन चरण को हल नहीं करता है, इसके बाद इसके प्रभावशीलता के बारे में कुछ भी नहीं कहता है। –
1
मुझे लगता है कि यहां एकमात्र उत्तर बेहतर लोगों को प्रोग्राम करना है।
उपस्थिति को अनुकूलित करने या छवि अपलोड करने जैसी चीजें करना केवल तभी काम करता है जब प्रश्नों में उपयोगकर्ता वास्तव में पहचानता है कि ये चीज़ें गलत हैं। मुझे लगता है कि अधिकांश उपयोगकर्ता इन चीज़ों को कभी भी पहचान नहीं पाएंगे, जिन साइटों को वे बहुत अधिक देखते हैं। यहां तक कि अगर उन्होंने किया तो वे इसे वेबसाइट डिज़ाइन में बदलाव के लिए जिम्मेदार ठहरा सकते हैं, न कि फिश।
संबंधित मुद्दे
- 1. आप वेबसाइट नेविगेशन कैसे उत्पन्न करते हैं?
- 2. आप वेबसाइट की जांच कैसे करते हैं?
- 3. आप वेबसाइट पर नवीनतम ट्वीट कैसे एम्बेड करते हैं?
- 4. स्क्रॉल करते समय आप div का अनुसरण कैसे करते हैं?
- 5. जब आप अनुवादित पाठ में लिंक करते हैं तो आप गेटटेक्स्ट का उपयोग कैसे करते हैं?
- 6. आप स्क्वाक का उपयोग कैसे करते हैं?
- 7. आप इंटरफ़ेस का परीक्षण कैसे करते हैं?
- 8. आप PowerShell का उपयोग कैसे करते हैं?
- 9. आप जेएसटीएल का उपयोग कैसे करते हैं?
- 10. आप आईएमई का उपयोग कैसे करते हैं?
- 11. आप CTEST_CUSTOM_PRE_TEST का उपयोग कैसे करते हैं?
- 12. आप कैसे निर्धारित करते हैं कि वेबसाइट किस वेबसाइट पर बनाई गई है?
- 13. आप प्रोटोटाइप कैसे करते हैं?
- 14. आप कैसे प्रतिक्रिया करते हैं?
- 15. टीएफएस 2010 का उपयोग करके आप वेबसाइट और डेटाबेस प्रोजेक्ट कैसे तैनात करते हैं?
- 16. आप जेडीके कैसे स्थापित करते हैं?
- 17. आप डेटाबेस संचालित वेबसाइट
- 18. आप जावा के साथ वेबसाइट कैसे बनाते हैं?
- 19. क्या आप एनडपेन्स का उपयोग करते हैं?
- 20. आप .NET एप्लिकेशन में RequJS का उपयोग कैसे करते हैं?
- 21. सी ++ में आप बिटवाई झंडे का उपयोग कैसे करते हैं?
- 22. क्या आप फ़िंग का उपयोग करते हैं?
- 23. "एक सच्ची भाषा" परिप्रेक्ष्य का मुकाबला कैसे करें?
- 24. क्या आप दावे का उपयोग करते हैं?
- 25. आप कैसे उबाऊ परीक्षण नहीं करते हैं?
- 26. आप ज्यूकीपर बैकअप कैसे करते हैं?
- 27. आप IUnityContainer कैसे नकल करते हैं?
- 28. जब आप लाइब्रेरी का उपयोग करते हैं तो अब आप क्या करते हैं?
- 29. आप XamlParseException को कैसे डिबग करते हैं?
- 30. आप wx.Panel को रीफ्रेश कैसे करते हैं?
इसके साथ समस्या तथाकथित "डाउनग्रेड हमला" है। उपयोगकर्ता फ़िशिंग साइट और वास्तविक साइट के बीच अंतर कैसे बता सकता है कि किसी भी कारण से आवश्यक कुकी भेजने में असमर्थ है। – Alnitak
यूआरएल को देखकर वे कभी भी जानते होंगे। मुद्दा यह होगा कि कस्टमाइज्ड यूआई के बिना वे अपने क्रेडेंशियल्स – Gareth
में प्रवेश करने से सावधान रहेंगे - किसी भी मामले में - एक वेबसाइट के रूप में - केवल एक ही वास्तविक जानकारी जो आप गारंटी दे सकते हैं केवल आपकी साइट पर भेजी जाती है कुछ कुकी-आधारित – Gareth